DocuSign - õigusosakonna dokumentidega seotud e-posti pettus

Ootamatud meilid võivad kujutada endast märkimisväärset küberturvalisuse riski, eriti kui need loovad kiireloomulisuse tunde ja näivad pärinevat usaldusväärsetelt kaubamärkidelt. Küberkurjategijad kasutavad sageli tuntud ettevõtteid ära, et petturlikud sõnumid näiksid veenvad ja suurendaksid tõenäosust, et adressaadid nendega suhtlevad. Üks selline näide on meilipettus „DocuSign - õigusosakonna dokument”. Need meilid ei ole seotud DocuSigni ega ühegi õigustatud ettevõtte, organisatsiooni ega üksusega. Selle asemel on need osa pahatahtlikust rämpspostikampaaniast, mille eesmärk on levitada pahavara.

Võltsitud juriidilise dokumendi taotlus

Küberturvalisuse uurijad on neid e-kirju analüüsinud ja tuvastanud need rämpspostina, mille eesmärk on meelitada saajaid pahatahtlikku tarkvara alla laadima. E-kirjad saabuvad tavaliselt teemareaga „Tarneahela regulatiivse esitamise ID#SCR-392847” ja väidetavalt pärinevad DocuSigni õigusosakonnast.

Sõnumi kohaselt on dokument saadetud elektrooniliseks allkirjastamiseks ja see tuleb kolme päeva jooksul üle vaadata. Õiguspärasuse illusiooni tugevdamiseks sisaldab e-kiri silmapaistvat nuppu „Vaata dokument üle” ja pakub alternatiivset allkirjastamismeetodit koos turvakoodiga. Need elemendid on hoolikalt koostatud, et taotlus tunduks autentne ja usaldusväärne.

Kuigi DocuSign on seaduslik elektroonilise allkirja platvorm, pole sellel selle kampaaniaga mingit seost. Lisaks pärineb saatja e-posti aadress mitteseotud kolmanda osapoole domeenilt, mitte DocuSignilt endalt.

E-kirja tegelik eesmärk

Pettuse lõppeesmärk on veenda saajaid alla laadima pahatahtlikku ISO-ketta kujutise faili. Olenemata sellest, kas ohvrid klõpsavad antud nupul või järgivad alternatiivseid juhiseid, suunatakse nad pahatahtliku faili hankimise juurde.

Windows saab ISO-faile otse virtuaalsete draividena ühendada, mis teeb neist küberkurjategijatele atraktiivsed tööriistad. Ründajad kasutavad seda vormingut sageli, kuna see võib mõnikord mööda minna turvafiltritest, mis muidu blokeeriksid ilmsemad pahatahtlikud manused.

Kui ISO-fail on paigaldatud, kuvatakse üks käivitatav fail nimega:

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

Failinimi on tahtlikult petlik. Laiendi '.DOC' lisamine on loodud selleks, et fail näiks kahjutu Microsoft Wordi dokumendina. Tegelikkuses identifitseerib lõplik laiend '.exe' seda käivitatava programmina, mis on võimeline ohvri arvutis koodi käivitama.

Mis juhtub pärast faili avamist?

Selle kampaania kaudu edastatud täpset pahavara pole lõplikult tuvastatud. Siiski võib fail installida mitmesuguseid ohtlikke ohte, sealhulgas lunavara, pangatroojaid, volituste varastajaid, klahvilogijaid, kaugjuurdepääsu troojaid (RAT) või muud pahavara vormid.

Võimalike tagajärgede hulka kuuluvad:

• Kasutajanimede, paroolide ja finantsteabe vargus
• Identiteedivargus, rahalised kahjud, volitamata süsteemile juurdepääs ja andmete krüptimine

Kuna pahavara võimed on teadmata, tuleks igasugust suhtlust käivitatava failiga käsitleda tõsise turvaintsidendina.

Hoiatusmärgid, mis paljastavad pettuse

Vaatamata sõnumi veenvale välimusele viitavad mitmed märgid petturlikule tegevusele. E-kiri tugineb suuresti kiireloomulisusele, kehtestades dokumentide läbivaatamiseks kolmepäevase tähtaja. Samuti viitab see juriidilisele esitamise identifikaatorile, et luua olulisuse tunnet ja avaldada saajatele survet kiiresti tegutseda ilma taotlust kontrollimata.

Usaldusväärse kaubamärgi, näiteks DocuSigni, kasutamine on veel üks levinud sotsiaalse manipuleerimise taktika. Küberkurjategijad mõistavad, et kasutajad usaldavad tõenäolisemalt tuttavaid teenuseid, eriti kui sõnum tundub professionaalne ja sisaldab üksikasju, näiteks kinnituskoode või allkirjastamisjuhiseid.

Mida teha, kui saate selle e-kirja

Saajad peaksid vältima sõnumiga igasugust suhtlemist. Kõige kindlam on e-kiri kohe kustutada ning hoiduda manuste avamisest, linkidele klõpsamisest, failide allalaadimisest või sõnumis sisalduvate juhiste järgimisest.

Isikud, kes on faili juba alla laadinud või käivitanud, peaksid võimaluse korral kahjustatud seadme võrgust lahti ühendama ja tegema põhjaliku skannimise, kasutades usaldusväärset viirusetõrje- või lõpp-punkti turvatarkvara. Samuti tuleks puhtast seadmest vahetada kõik potentsiaalselt ohustatud paroolid, eriti kui tundlikud kontod võivad olla lekkinud.

Kuidas rämpspostikampaaniad pahavara levitavad

DocuSigni-teemaline kampaania on vaid üks näide laiemast küberkuritegevuse trendist. Pahatahtlikud rämpspostid on endiselt üks levinumaid meetodeid pahavara levitamiseks. Ründajad varjavad kahjulikku sisu rutiinselt arvete, juriidiliste teadete, kohaletoimetamise värskenduste, kontohoiatuste või äridokumentidena.

Levinud pahavara edastusvormingud on ZIP- ja RAR-arhiivid, käivitatavad failid, PDF-dokumendid, Microsoft Office'i failid, skriptid ja kettakujutiste vormingud, näiteks ISO- ja IMG-failid. Mõned pahatahtlikud failid alustavad nakatumisprotsessi kohe pärast avamist, teised aga nõuavad täiendavaid kasutaja toiminguid, näiteks makrode lubamist, arhiveeritud sisu ekstraktimist või manustatud käivitatavate failide käivitamist.

Lõppmõtted

Meilipettus „DocuSign - Legal Department Document” näitab, kuidas küberkurjategijad ühendavad usaldusväärse kaubamärgi jäljendamise, õigusteemalised sõnumid ja kunstliku tungiva surve, et meelitada ohvreid pahavara käivitama. Kuigi sõnum võib esmapilgul tunduda autentne, on selle tegelik eesmärk nakatada süsteeme ja potentsiaalselt kahjustada tundlikku teavet. Ettevaatlik suhtumine soovimatutesse meilidesse, eriti nendesse, mis nõuavad viivitamatut tegutsemist või failide allalaadimist, on endiselt üks tõhusamaid kaitsemeetmeid selliste ohtude vastu.